So ermitteln Sie den tatsächlichen Absender einer Mail
Eine Phishing-Mail verrät sich aber nicht nur durch die enthaltenen Links, sondern auch durch den gefälschten Absender. Diese Fälschung ist unter Umständen allerdings nur schwer zu durchschauen und die nötige Analyse etwas aufwenig. Dazu ein einfaches Beispiel. Eine Mail gibt vor, von Payback zu stammen. Nachrichtentext und enthaltene Bilder sind so gut gemacht, dass sie tatsächlich von Payback stammen könnten.
Der Mailabsender lautet auf payback@punkte.payback-de.pw. Eine genaue Untersuchung der Mail würde ergeben, dass die Mail tatsächlich von dieser Adresse stammt. Der Grund dafür ist einfach: Die Adresse gehört den Kriminellen. Eine Header-Analyse bringt Ihnen also nur etwas, wenn es einen Unterschied zwischen vorgeblichem Original und tatsächlicher Mailadresse gibt.
Von woher stammt eine Mail wirklich? Lassen Sie sich nicht von der Adresse täuschen, die Ihr Mailprogramm oder Browser als Mailabsender anzeigt. Diese Angabe lässt sich leicht fälschen. Möchten Sie sich den echten Absender genauer ansehen, benötigen Sie die Infos aus dem Mail-Header, auch Internetkopfzeilen genannt. Das ist der Teil der Mail, in dem die Protokolldaten der Übermittlung gespeichert sind. Alle gängigen Mailprogramme und Webmailer verbergen allerdings zunächst diesen Infoteil.
So kommen Sie bei gängigen Mailclients an den Mail-Header:
Outlook 2013/2016: Öffnen Sie die Mail und wählen Sie "Datei->Eigenschaften". Markieren Sie den kompletten Text im Feld "Internetkopfzeilen" und kopieren Sie ihn mit der Tastenkombination Strg-C.
Thunderbird: Markieren Sie die Mail, und wählen Sie "Ansicht -> Nachrichten-Quelltext". Markieren Sie im neuen Fenster alles bis einschließlich "to: ", und kopieren Sie den Text mit dem Hotkey Strg-C.
Gmail (Webmail): Lassen Sie sich die Mail anzeigen, und klicken Sie rechts oben auf den kleinen Pfeil gleich neben dem Antwortenpfeil. Wählen Sie dort "Original anzeigen". Markieren Sie im neuen Fenster alles bis einschließlich "to: ", und kopieren Sie den Text mit der Tastenkombination Strg-C.
http://: Öffnen Sie die Mail, und klicken Sie rechts oben auf das kleine "i" neben der Uhrzeit. Markieren und kopieren Sie den Text aus dem neuen Fenster.
Mail-Header aufbereiten und analysieren
Die besten Hinweise über die Herkunft der Mail stecken in den Received-Zeilen. Jeder Server, der die Mail an Sie weiterleitet, fügt oben eine neue "Received:"-Zeile mit den Infos "from" (Absender) und "by" (Serveradresse) ein. Beim Mailversand sind mindestens zwei Mailserver beteiligt. Es können aber auch eine ganze Reihe von Servern die Mail weitergeleitet haben. Vertrauenswürdig ist nur der letzte Eintrag, denn das ist die Received-Zeile Ihres eigenen Mailproviders. Alle Zeilen davor können gefälscht sein.
Dennoch lohnt sich ein Blick auch auf die untersten Zeilen, da sich nur wenige Phisher die Mühe machen, an dieser Stelle zu manipulieren. Sie begnügen sich stattdessen damit, den Eintrag in der Zeile "From" zu manipulieren, wo beispielsweise info@paypal.de angegeben ist. Starten Sie dazu das Programm Etoolz , und wählen Sie oben "Header Analyzer". Fügen Sie den eben kopierten Text in das Feld "Kopfzeilen", und klicken Sie auf "Start". Das Tool listet nun unter "Received-Übersicht" die Einträge aller beteiligter Mailserver auf. Es beginnt aber mit dem zeitlich ersten und damit genau umgekehrt wie im Original-Header.
Hinter "Gesendet von" steht die IP-Adresse des ersten absendenden Servers. Kopieren Sie diese, und fügen Sie sie ins Eingabefeld auf der Website http://network-tools.com ein und klicken dort auf "Go". Die Website versucht, möglichst viele Infos über die IP zu erhalten.
Kontrollieren Sie im Programm Etoolz weiterhin die Original-Received-Zeile (unter "Received-Details"). Dort finden sich meist Hinweise auf den ersten Mailserver.
Mail-Header am Smartphone aufbereiten und analysieren
Gängige Mail-Apps für Android gewähren Ihnen keinen Zugriff auf den Mail-Header einer Nachricht. Damit Sie dennoch an diese Infos kommen, installieren Sie sich die insgesamt empfehlenswerte App K-@ Mail - E-Mail App. Das Einrichten eines Mailkontos läuft wie gewohnt über einen Assistenten und bedarf in der Regel nur Mailadresse und Passwort. In den Einstellungen können Sie später festlegen, dass Mails nur manuell abgerufen werden. Das ist sinnvoll, wenn Sie eine andere Mail-App als Standard-App fürs Mailen behalten möchten.
Mail-Header kopieren: Öffnen Sie in K-@ Mail - E-Mail-App eine verdächtige Mail und tippen Sie auf "Menü-Symbol -> Kompletten Header anzeigen". Den dann angezeigten Header kopieren Sie wie Text aus einem Editor: Doppeltippen Sie auf den Text und wählen Sie "Alles markieren" und dann "Kopieren".
Nutzen Sie nun die Website http://www.gaijin.at/olsmailheader.php, in die Sie den kopierten Header einfügen. Tippen Sie dafür lange in das Feld "Kopfzeilen der E-Mail", bis der "Einfügen"-Knopf erscheint. Wenn Sie auf "Kopfzeilen analysieren" tippen, stellt die Website den Header besser lesbar dar. Zumindest bei Smartphones und Tablets mit einer höheren Bildschirmauflösung lassen sich so die Received-Zeile ganz gut betrachten. Gehen Sie hier zur untersten Zeile. Dort finden Sie den Eintrag des zeitlich ersten Mailservers. Kopieren Sie die IP-Adresse, und fügen Sie sie bei http://network-tools.com ein. Die Ergebnisse, die diese Seite zu der IP liefert, lässt die meisten Spam-Mails auffliegen.
Geolokalisierung: In die Website www.iptrackeronline.com/email-header-analysis.php können Sie den Header einer Mail ebenfalls kopieren. Nach einem Tipp auf "Submit header for analysis" bekommen Sie dort zudem die vermutliche Lage des Absenders ungefähr angezeigt. Originalmails von Paypal kommen zum Beispiel aus San Jose.